前回は、EUの個人情報保護法「GDPR」について学んだね。 個人データをEUの外へ持ち出すこと（域外移転）は原則禁止。持ち出すためには、厳格な手続きを踏む必要があったね。

GDPRは「世界で最も厳しいルール」として知られているんだ。でも、プライバシー保護の波はEUだけでなく、世界中に及んでいるんだよ。

今回はAPECの越境プライバシールール「CBPR（Cross Border Privacy Rules）」について説明しよう。

APECの「CBPR（Cross Border Privacy Rules）」は、APEC（アジア太平洋経済協力会議）が2011年に合意した、域内でのデータ移転ルールなんだ。越境プライバシールールとも呼ばれるよ。

そう。通常は、個人データを国外へ持ち出すには、相手国の個人情報保護ルールが自国にとって安心できるものかを確認する必要があるんだ。でも、国ごとに異なるルールを確認するのは大変だ。そこで、参加国の間では個人データが国境をまたいでも保護されるよう、統一ルールを決めたのがCBPRなんだよ。

CBPRの参加国は現在のところ、米国、カナダ、メキシコ、韓国、台湾、シンガポール、フィリピン、オーストラリア、日本の9か国なんだ。
今後はAPEC域外を含めて、さらに参加国を拡大しようとする動きがあるんだよ。

いや、CBPR認証を取得した企業に限られるんだ。
「越境個人データの保護に関して、APECプライバシー原則に適合しているか」を認証する仕組みがあるんだよ。

日本では、JIPDEC（一般財団法人 日本情報経済社会推進協会）が審査機関と定められている。IIJは2022年9月に、JIPDECの審査を経てCBPRの認証を取得したんだよ。

日本の個人情報保護法第28条には、「日本から外国にある第三者への個人データの提供」が可能になる3つの要件が示されているんだ。そのうちの1つがCBPRの認証取得なんだよ。

CBPRの認証は、安全な企業の証として公的に認められている、ということだね。

その通り。クラウドサービスプロバイダー（IaaS）として両方を取得した企業は、IIJが世界初なんだ。
BCRに次いでCBPRの認証を取得したことで、より多くの国との間で、法的にも安全なデータ流通が可能になったんだよ。

IIJのクラウドサービスやメールサービスを利用すれば、法的にもセキュリティ的にも安全に、国境をまたいで個人データのやりとりができるんだ。

国内外のグループ企業と国境を越えてデータを流通させ、利活用するようなケースが考えられるね。
DX時代には、世界中のデータを安全に利活用することが、競争力の源泉とされている。今後ますます、安全なデータ流通の重要性は高まっていくだろうね。

もちろん。個人データに限らず、国や企業の重要データを取り扱う上で、IIJのサービスはグローバル水準の安全性をお客様に提供できると思うよ。